On Wed, 19 May 2004 13:15:34 +0200, Poul Kubel wrote:
> Nu har jeg indtil videre ikke sat mig så meget ind i sikkerheden
> omkring sessions, men det virker da ikke særligt genialt at man
> fratager folk muligheden for at fjerne session-id.
Øhm, jeg tror det er noget du har misforstået omkring session-id.
Session-id er blot en nøgle der gør det muligt for serveren (som jo har
en struktur gemt hvor session-id peger på det tilhørende data) at finde
session-data frem. Hvis du fjerner session-id'et så har du ingen mulighed
for at finde data frem igen og din session er afsluttet.
Man kan ikke både have gang i en session og samtidig ikke have noget
session-id.
Hvis du ønsker at fjerne session-id, så brug session_destroy().
> I mit tilfælde er der ikke tale om nogle fortrolige oplysninger som
> gemmes i sessionen, men hvad nu hvis? Jeg leder selvfølgelig efter et
> argument som jeg kan bruge til at få dem til at aktivere muligheden...
>
Som sagt kan du ikke undvære dit session-id. Men sessions kan køre på
to måder:
1) session-id gemt i cookie
2) session-id tilføjet automagisk til hvert link af PHP efter endt
processering
Når du validerer din side vil metode 2 blive brugt (da validatoren ikke
vil have cookies) og links på din side vil dermed ligne følgende
http://en.server.dk/index.php?variable=værdi&PHPSESSID=123
og jeg vil tro at det er og-tegnet der er problemet - det skal
så hut jeg visker skrives som & for at gå gennem validatoren.
Så det du altså ønsker er at få PHP til at bruge "&" som adskiller
frem for "&"... og til det brug skal du måske nok have fat i noget
ini_set-halløj.
Mvh.
/Thomas